原文来源:HashKeyCapital?
当前区块链行业里零知识证明项目增速惊人,特别是ZKP在扩容和隐私保护两个层面应用的崛起,令我们接触到了各种花样繁多的零知识证明项目。由于ZKP极富数学性的特质,对于加密爱好者来说,想要深度了解ZK的难度大幅提升。因此我们也希望从头梳理ZKP理论和应用层面的一些变化,与读者一起探索对于crypto行业的影响和价值——通过几篇报告的形式共同学习,也作为HashKeyCapital研究团队的思考总结。本篇是该系列的第一篇,主要介绍ZKP的发展历史、应用和一些基本原理。
一、零知识证明的历史
现代零知识证明体系最早来源于Goldwasser、Micali和?Rackoff合作发表的论文:TheKnowledgeComplexityofInteractiveProofSystems,该论文提出于1985年,发表于1989年。这篇论文主要阐释的是在一个交互系统中,经过K轮交互,需要多少知识被交换,从而证明一个证言是正确的。如果可以让交换的知识为零,则被称之为零知识证明。这里面会假设证明者具有无限资源,而验证者只具有有限资源。而交互式系统的问题在于证明不完全是数学上可证的,而是概率意义上正确的,虽然概率很小(1/2^n)。
所以交互式系统并不完美,只有近似完备性,以此为基础诞生的非交互式系统系统则具有完备性,成为零知识证明系统的完美所选。
早年的零知识证明系统在效率以及可用性方面都有所欠缺,所以一直都停留在理论层面,直到最近10年才开始蓬勃发展,伴随着密码学在crypto成为显学,零知识证明走向台前,成为至关重要的一个方向。特别是发展出一个通用的、非交互的、证明大小有限的零知识证明协议,是其中最关键的探索方向之一。
Hashed宣布已投资Web 3.0游戏开发商Decentralized Gaming Ventures:金色财经报道,区块链专业投资者Hashed 19日宣布已投资Decentralized Gaming Ventures (DGV),这是一家支持东南亚游戏开发商的Web 3.0游戏风险投资工作室。
DGV成立于2021年,是一家总部位于新加坡的专注于web3.0游戏的加速器。它的主要业务是发现有前途的开发商,并孵化他们从原型开发到上市。去年,他们支持推出了15款游戏,目前支持新加坡8个游戏开发团队。[2023/6/19 21:46:39]
基本上零知识证明就是要在证明的速度、验证的速度和证明体积的大小之间做取舍,理想的协议是证明快、验证快、证明体积小。
零知识证明最重要的突破是Groth在2010年的论文ShortPairing-basedNon-interactiveZero-KnowledgeArguments,也是ZKP里面最重要的一组zk-SNARK的理论先驱。
零知识证明在应用上最重要的进展就是2015年Z-cash使用的零知识证明系统,实现了对交易及金额隐私的保护,后来发展到zk-SNARK和智能合约相结合,zk-SNARK进入了更为广泛的应用场景。
在此期间,一些重要的学术成果包括:
2013年的?Pinocchio(PGHR13):Pinocchio:NearlyPracticalVerifiableComputation,将证明和验证时间压缩到适用范围,也是Zcash使用的基础协议。
HashKey Capital三期基金完成5亿美元募资,全力投入Web3建设:1月17日消息,全球化资产管理机构HashKey Capital宣布旗下三期基金HashKey Fintech Investment Fund III完成募资,新募基金规模达5亿美元。HashKey Capital三期基金得到机构投资者的支持,LP阵容由主权财富基金、大型企业和家族办公室等组成。HashKey Capital新募集的三期基金将为投资者带来机构级的区块链及加密项目投资机会。三期基金的主要投资标的包括基础设施、工具和具有大规模普及潜力的应用等。
迄今为止,HashKey Capital已经投资许多顶级项目,包括Cosmos、Coinlist、Aztec、Blockdaemon、dYdX、imToken、Animoca Brands、Mask Network、Falcon X、Polkadot、Moonbeam、Space and Time以及Galxe。[2023/1/17 11:17:21]
2016年的Groth16:OntheSizeofPairing-basedNon-interactiveArguments,精简了证明的大小,并提升了验证效率,是目前应用最多的ZK基础算法。
2017年的?Bulletproofs(BBBPWM17)Bulletproofs:ShortProofsforConfidentialTransactionsandMore,提出了Bulletproof算法,非常短的非交互式零知识证明,不需要可信的设置,6个月以后应用于Monero,是非常快的理论到应用的结合。
Paradigm研究合伙人Hasu加入Lido Finance任战略顾问:4月15日消息,Flashbots 战略主管、Paradigm 研究合伙人、MakerDAO 天使投资人 Hasu 在其社交网站宣布加入质押协议 Lido Finance,并任战略顾问。[2022/4/15 14:26:10]
2018年的zk-STARKs(BBHR18)Scalable,transparent,andpost-quantumsecurecomputationalintegrity,提出了不需要可信设置的ZK-STARK算法协议,这也是目前ZK发展另一个让人瞩目的方向,也以此为基础诞生了StarkWare这个最重量级的ZK项目。
其他的发展包括PLONK、Halo2等也是极为重要的进展,也对zk-SNARK做出了某些层面上的改进。
二、零知识证明的应用简述
零知识证明最广泛的两个应用就是隐私保护和扩容。早期随着隐私交易和几个有名的项目Zcash和Monero等推出,隐私交易一度成为非常重要的门类,但由于隐私交易的必要性并没有业界希望的那样突出,因此这一类代表性项目开始慢慢进入二三线的阵营。而应用层面,扩容的必要性提升到无以复加,随着以太坊2.0在2020年转变为以rollup为中心的路线,ZK系列正式又回归业界的视线,成为焦点。
隐私交易:隐私交易有很多已经实现的项目,包括使用SNARK的Zcash,Tornado,使用bulletproof的Monero,以及Dash。Dash严格意义上用的不是ZKP,而是一种简单粗暴的混币系统,只可以隐藏地址而不能隐藏金额,在此略过不表。
Hashdex聘请21Shares前ETP全球主管担任欧洲负责人:金色财经消息,加密资产管理公司Hashdex宣布聘请21Shares前董事总经理兼ETP全球主管LaurentKssis担任董事总经理兼欧洲负责人,将继续在伦敦、苏黎世、巴黎和里斯本聘请新成员。在加入21Shares之前,LaurentKssis曾担任瑞典加密货币资产管理公司CoinShares的首席执行官。(prnewswire)[2022/3/29 14:25:08]
Zcash应用的zk-SNARKs交易步骤如下:
System?setup阶段生成证明秘钥和验证秘钥,借助KeyGen?function
CPA阶段ECIES加密方法用来生成公钥和私钥
MintingCoins阶段,生成新币的数量。公共地址和币的commitment
Pouring阶段,生成zk-SNARK证明,证明被加到了pour交易账本中
Verification阶段,验证者验证Mint和Pour的交易量是否正确
Receiving阶段,receiver接收币。如果想使用收到的币,则继续调用Pouring,形成zk-SNARK验证,重复上述4-6的步骤,完成交易。
Zcash使用零知识还是有局限性的,就是其基于UTXO,所以部分交易信息只是被shield了,而不是真正的掩盖。因为其基于比特币的设计的单独网络,所以难以扩展。真正使用shielding的使用率只有不到10%,说明隐私交易并没有很成功的扩展。
LongHash:Liquid侧链比特币持有量超过公共闪电网络通道:金色财经报道,根据LongHash文章,本月早些时候,Liquid上的比特币持有量超过了闪电网络通道。目前Liquid侧链上有952.9435822枚BTC,公共闪电网络通道上大约有918枚BTC。BitMEX Research曾揭示2月份闪电网络的真实数据。根据他们的区块链数据集,闪电网络上的BTC有88%是在公共通道上的。根据这些信息,整个闪电网络(包括专用通道)上的BTC总量可以粗略估计为1043个BTC左右,这比目前Liquid侧链上的BTC更多。尽管如此,在不久的将来,Liquid侧链通道的数量肯定会超过公共和私有闪电网络通道所拥有的BTC总量。[2020/3/27]
Tornado使用的单一大混币池更加通用,而且基于以太坊这样“久经考验”的网络。Torndao本质上就是一个用了zk-SNARK的混币池,可信设置基于Groth?16的论文。TornadoCash可以提供的特性包括:
只有被存进去的coin可以被提取
没有币可以被提取两次
证明过程和币的废止通知是绑定的,相同证明但不同Nullifier的哈希不会允许提币
安全性有126-bit的安全,不会因为composition而降级
Vitalik提到过,和扩容相比,隐私相对比较容易实现,如果一些扩容的protocol都可以成立的话,隐私基本上不会成为问题。
扩容:ZK的扩容可以在一层网络上做,如Mina,也可以在二层网络上做,即zk-rollup.ZKrollup的思路可能最早来自于Vitalik于2018的post,On-chainscalingtopotentially~500tx/secthroughmasstxvalidation。
ZK-rollup有两类角色,一类是Sequencer,还有一个是Aggregator。Sequencer负责打包交易,Aggregator负责将大量的交易合并并创造一个rollup,并形成一个SNARK证明,这个证明会和Layer1以前的状态进行比较,进而更新以太坊的Merkle树,计算新的状态树。
Source:Polygon
ZK?rollup的优缺点:
优点:费用低,不像OP会被经济攻击,不需要延迟交易,可以保护隐私,快速达成最终性
缺点:形成ZK证明需要大计算量,安全问题,不抗量子攻击,交易顺序可能被改变
Hermez和Miden,Loopring,Scroll等
基本上技术路线就在于SNARK(及其改进版本)和STARK的选择,以及对EVM的支持。
Aztec开发了通用化的SNARK协议-Plonk协议,运行中的Aztec3可能会支持EVM,但是隐私优先于EVM兼容
Starnet用的是zk-STARK,一种不需要可信设置的zkp,但是目前不支持EVM,有自己的编译器和开发语言
zkSync也是用的plonk,支持EVM。zkSync2.0是EVM兼容的,有自己的zkEVM
Scroll,一种EVM兼容的ZK?rollup,团队也是以太坊基金会zkEVM项目的重要贡献者
简要讨论下EVM兼容性问题:
ZK系统和EVM的兼容一直令人头疼,一般项目会在两者间取舍。强调ZK的可能会在自己的系统里做一个虚拟机,并有自己的ZK语言以及编译器,但会加重开发者的学习难度,而且因为基本上不开源,会变成一个黑箱子。一般业界目前是两种选择,一是和Solidity的操作码完全兼容,另一种是设计一种新的虚拟机同时ZK友好并兼容Solidity。业界一开始也没有想到可以这么快的融合,但是近一两年技术的快速迭代,让EVM的兼容提升到一个新高度,开发者可以做到一定程度的无缝迁移,是振奋人心的进展,这将影响ZK的开发生态和竞争格局。我们会在之后的报告中仔细讨论这个问题。
完整性:每一个拥有合理见证的声明,都是可以被验证者验证的
可靠性:每一个只拥有不合理见证的声明,都不应该被验证者验证
零知识:验证过程是零知识的
所以为了了解ZKP,我们从zk-SNARK开始,因为很多目前的区块链应用都是从SNARK开始。首先,我们先了解一下zk-SNARK。
zk-SNARK的意思是:零知识证明是zero-knowledgeSuccintNon-interactiveARgumentsofKnowledge。
ZeroKnowledge:证明过程零知识,不会暴露多余信息
Succinct:验证体积小
Non-interactive:非交互过程
ARguments:计算具备可靠性,即有限计算能力的证明者不能伪造证明,无限计算能力的证明者可以伪造证明
ofKnowledge:证明者无法在不知道有效信息的情况下构建出一个参数和证明
对于证明者来说,在不知道证据的情况下,构造出一组参数和证明是不可能的。”
Groth16的zk-SNARK的证明原理和如下:
Source:?https://learnblockchain.cn/article/3220
步骤是:
1.?将问题转换为电路
2.?将电路拍平成R1CS的形式.
3.?R1CS转换成QAP形式
4.?建立trusted?setup,生成随机参数,包括PK(provingkey),VK(verifyingkey)
5.?zk-SNARK的证明生成和验证
下一篇我们将开始研究zk-SNARK的原理、应用,通过几个案例来透视ZK-SNARK的发展,并探索它与zk-STARK的关系等。
Reference:
https://ethresear.ch/t/on-chain-scaling-to-potentially-500-tx-sec-through-mass-tx-validation/3477
https://blog.polygon.technology/zkverse-why-zero-knowledge-rollups-need-a-new-consensus-mechanism/
https://blog.decentriq.com/zk-snarks-primer-part-one/
https://vitalik.ca/general/2021/01/26/snarks.html
https://z.cash/technology/zksnarks/
标签:ARKASHNARENTBenchmark Protocoldash币前景怎么样Extra Ordinary CoinValentine Floki
DearKuCoinUsers,Thankyouforyoursupport.WeareveryproudtoannouncethattherewarddistributionforPromotion1ofthe“MetaSwapCh.
1900/1/1 0:00:00金色财经报道,支付公司Checkout.com正在探索推出两种新的加密产品,该产品将促进加密支付,允许工人以加密形式直接通过数字钱包获得报酬,以及另一种为在线商家提供一种接受加密形式的方法.
1900/1/1 0:00:00Gate.ioHODL&EarnMNZ#1willbeavailableatGate.io's“HODL&Earn”undertheflexible-termsection.
1900/1/1 0:00:00Torah主网生态的唯一通证VP已于2022年08月9日15:00登陆全球领先的数字货币交易所Pearcoin雪梨交易所,并支持开放BSC及Matic链充提,市场和全球各大社区关注度日益提升!查CoinMarketCap信息.
1900/1/1 0:00:00DeFi的发展,在这加密货币的黑暗森林里,隐私保护的需求从来没有比现在更加迫切。在DeFi积木濒临倒塌的时候,链上清晰可见的清算线和定点爆仓成了价格止不住下跌的重要推手。对于网络并发容量和隐私两大难题,极客和开发者们进行了数年的探索.
1900/1/1 0:00:00以太坊Goerli测试网已完成合并以太坊Goerli测试网已完成合并。Goerli是三个公共测试网中最后一个以太坊测试网,在此之后,主网合并预计将在9月底的某个时间发生.
1900/1/1 0:00:00